Saltar a contenido principal Saltar a navegación principal

Phishing: ¿cómo identificarlo y qué tipos hay?

En un artículo anterior adelantábamos que este mes Phishing es una de las temáticas a desarrollar. En este, lo importante será discernir los distintos tipos de ciberataques.

imagen Phishing: ¿cómo identificarlo y qué tipos hay?

Si bien el eje es concientizar acerca de la seguridad de la información, esto no es tarea fácil. Para sumar a la complejidad y dar a entender por qué es importante la educación acerca de ello, también sumaremos al tema central los diferentes tipos de ataques de phishing.

Correos electrónicos masivos de phishing:

 El phishing por correo electrónico masivo es el tipo más común de ataque de phishing. El estafador crea un mensaje de correo electrónico que parece que proviene de una empresa u organización legítima grande y conocida (un banco nacional o global, una gran tienda en línea, los creadores de una popular app o aplicación de software) y lo envía a millones de destinatarios. El phishing por correo electrónico es un juego de números: cuanto más grande o popular sea el remitente suplantado, más destinatarios serán los posibles clientes, suscriptores o miembros.

Trata sobre un tema que el remitente suplantado podría enviar de manera creíble y apela a emociones fuertes (miedo, codicia, curiosidad, sentido de urgencia o premura) para obtener la atención del destinatario. Las líneas de asunto típicas incluyen 'Actualice su perfil de usuario', 'Problema con su pedido', 'Sus documentos de cierre están listos para la firma', 'Se adjunta su factura'.

El cuerpo del correo electrónico insta al destinatario a realizar una acción que parece perfectamente razonable y coherente con el tema, pero como resultado el destinatario divulga información confidencial (números de la seguridad social, números de cuentas bancarias, números tarjetas de crédito, credenciales de inicio de sesión) o descarga un archivo que infecta el dispositivo o la red del destinatario. Por ejemplo, puede solicitarse a los destinatarios que 'pulsen este enlace para actualizar su perfil', pero el enlace los lleva a un sitio web falso, donde especifican sus credenciales inicio de sesión reales mientras aparentemente actualizan su perfil. O bien, se les puede pedir que abran un archivo adjunto que parece legítimo (p. ej., 'factura20.xlsx'), pero que envía malware o código maligno al dispositivo o red del destinatario.

Suplantación de identidad:

La suplantación de identidad es un ataque de phishing que se dirige a una persona específica, generalmente una persona que tiene acceso privilegiado a datos confidenciales o recursos red, o una autoridad especial que el estafador puede explotar con fines fraudulentos o maliciosos.

Un suplantador de identidad estudia su objetivo para recopilar la información necesaria para hacerse pasar por una persona o entidad en la que el objetivo realmente confía (un amigo, un jefe, un compañero de trabajo, un colega, un proveedor de confianza o una institución financiera) o para hacerse pasar por la persona objetivo. Las redes sociales y los sitios de interacción social, donde las personas felicitan públicamente a sus compañeros de trabajo, apoyan a colegas y proveedores, y tienden a compartir demasiada información sobre reuniones, eventos o planes de viaje, se han convertido en grandes fuentes de información para la investigación de suplantación de identidad.

Armado con esta información, el suplantador de identidad puede enviar un mensaje que contenga información financiera o detalles personales específicos acompañado de una solicitud creíble para el objetivo como, por ejemplo, en 'Sé que te vas esta noche de vacaciones, ¿puedes pagar hoy esta factura (o transferir XXX.XX USD a esta cuenta) antes del cierre de la oficina?'

Compromiso de correo electrónico de la empresa (BEC):

Algunos correos electrónicos de suplantación de identidad intentan recopilar aún más información, como preparación para un ataque a mayor escala. Por ejemplo, un mensaje de suplantación de identidad puede solicitar a un CEO que actualice las credenciales de su cuenta de correo electrónico que se han perdido durante un breve corte de energía, pero proporcionar un enlace a un sitio web falso malicioso diseñado para robar dichas credenciales. Con dichas credenciales, el atacante tiene acceso completo al buzón de correo del CEO. Puede estudiar los mensajes de correo electrónico del CEO para obtener aún más información y enviar un mensaje fraudulento convincente directamente desde la cuenta de correo electrónico del CEO utilizando la dirección de correo electrónico real del CEO.

Este es un ejemplo de compromiso de correo electrónico de empresa (BEC), un tipo particularmente peligroso de ataque de suplantación de identidad diseñado para engañar a los empleados de la compañía para que envíen grandes sumas de dinero o activos valiosos a un atacante. Los correos electrónicos de BEC se envían o parece que se envían desde las cuentas de correo electrónico de los miembros de más alto nivel de la empresa (o de asociados de alto nivel de la empresa, por ejemplo, abogados, business partners clave o grandes proveedores) y contienen detalles suficientes para parecer altamente creíbles.

La suplantación de identidad no es la única táctica para obtener la información necesaria para preparar un ataque BEC de éxito. Los hackers también pueden implementar malware o explotar las vulnerabilidades del sistema para obtener acceso a los datos de la cuenta de correo electrónico. O bien, si no pueden obtener acceso a los datos de la cuenta, los hackers pueden intentar suplantar la dirección del remitente utilizando una dirección de correo electrónico tan similar a su dirección real que el destinatario no nota la diferencia.

Independientemente de las tácticas, los ataques de BEC de éxito se encuentran entre los ciberataques más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que se hicieron pasar por un CEO convencieron al departamento de finanzas de su empresa para que transfiriera casi 50 millones de euros a una cuenta bancaria fraudulenta.

Para más información sobre tipos y tácticas de ciberataques, podés ingresar al siguiente link: https://onx.la/fec45

Contenido relacionado